設定 Kerberos 的服務主體名稱 (SPNs)

我們建議您使用 Kerberos 型身分驗證和加密與 Amazon FSx 傳輸。Kerberos 為存取檔案系統的用戶端提供最安全的身分驗證。

若要為使用 DNS 別名存取 Amazon FSx 的用戶端啟用 Kerberos 身分驗證，您必須新增對應至 Amazon FSx 檔案系統 Active Directory 電腦物件上 DNS 別名的服務主體名稱 (SPNs)。SPN 一次只能與單一 Active Directory 電腦物件建立關聯。如果您有為原始檔案系統 Active Directory 電腦物件設定的 DNS 名稱的現有 SPNs，您必須先將其刪除。

Kerberos 身分驗證需要兩個 SPNs：


HOST/alias
HOST/alias.domain

如果別名為 finance.domain.com，則以下兩個必要的 SPNs：


HOST/finance
HOST/finance.domain.com

注意

您必須先刪除與 Active Directory 電腦物件上 DNS 別名對應的任何現有 HOST SPNs，才能為 Amazon FSx 檔案系統 Active Directory (AD) 電腦物件建立新的 HOST SPNs。如果 AD 中存在 DNS 別名SPNs，則嘗試設定 Amazon FSx 檔案系統的 SPN 將會失敗。

下列程序說明如何執行下列動作：

在原始檔案系統的 Active Directory 電腦物件上尋找任何現有的 DNS 別名 SPNs。
刪除找到的現有 SPNs，如果有的話。
為您的 Amazon FSx 檔案系統 Active Directory 電腦物件建立新的 DNS 別名 SPNs。

安裝所需的 PowerShell Active Directory 模組

登入已加入 Amazon FSx 檔案系統的 Active Directory 的 Windows 執行個體。
以管理員身分開啟 PowerShell。
使用以下命令安裝 PowerShell Active Directory 模組。
```
Install-WindowsFeature RSAT-AD-PowerShell
```

在原始檔案系統的 Active Directory 電腦物件上尋找和刪除現有的 DNS 別名 SPNs

如果您已針對指派給 Active Directory 中電腦物件上另一個檔案系統的 DNS 別名設定 SPNs，您必須先移除這些 SPNs才能將 SPNs 新增至檔案系統的電腦物件。

使用以下命令尋找任何現有的 SPNs。alias_fqdn 將取代為您在步驟 1 中與檔案系統相關聯的 DNS 別名。


## Find SPNs for original file system's AD computer object
$ALIAS = "alias_fqdn"
SetSPN /Q ("HOST/" + $ALIAS)
SetSPN /Q ("HOST/" + $ALIAS.Split(".")[0])

使用下列範例指令碼刪除上一個步驟中傳回的現有 HOST SPNs。

alias_fqdn 將取代為您在步驟 1 中與檔案系統相關聯的完整 DNS 別名。
file_system_DNS_name 將取代為原始檔案系統的 DNS 名稱。


## Delete SPNs for original file system's AD computer object
$Alias = "alias_fqdn"
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})

SetSPN /D ("HOST/" + ${Alias}) ${FSxAdComputer}.Name
SetSPN /D ("HOST/" + ${Alias}.Split(".")[0]) ${FSxAdComputer}.Name

針對您在步驟 1 中與檔案系統相關聯的每個 DNS 別名重複上述步驟。

在 Amazon FSx 檔案系統的 Active Directory 電腦物件上設定 SPNs

執行下列命令，為您的 Amazon FSx 檔案系統設定新的 SPNs。
- file_system_DNS_name 將取代為 Amazon FSx 指派給檔案系統的 DNS 名稱。
  
  若要在 Amazon FSx 主控台上尋找檔案系統的 DNS 名稱，請選擇檔案系統，然後選擇檔案系統詳細資訊頁面上的網路與安全窗格。
  
  您也可以在 DescribeFileSystems API 操作的回應中取得 DNS 名稱。
- alias_fqdn 將取代為您在步驟 1 中與檔案系統相關聯的完整 DNS 別名。
```
## Set SPNs for FSx file system AD computer object
$FSxDnsName = "file_system_DNS_name"
$Alias = "alias_fqdn"
$FileSystemHost = (Resolve-DnsName $FSxDnsName | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity $FileSystemHost)

##Use one of the following commands, not both:
Set-AdComputer -Identity $FSxAdComputer -Add @{"msDS-AdditionalDnsHostname"="$Alias"}
##Or
SetSpn /S ("HOST/" + $Alias.Split('.')[0]) $FSxAdComputer.Name
SetSpn /S ("HOST/" + $Alias) $FSxAdComputer.Name
```
注意
如果原始檔案系統的電腦物件的 AD 中存在 DNS 別名的 SPN，則設定 Amazon FSx 檔案系統的 SPN 將會失敗。如需尋找和刪除現有 SPNs的資訊，請參閱在原始檔案系統的 Active Directory 電腦物件上尋找和刪除現有的 DNS 別名 SPNs 。
確認已使用下列範例指令碼為 DNS 別名設定新的 SPNs。請確定回應包含兩個 HOST SPNs HOST/alias和 HOST/alias_fqdn，如本程序先前所述。

file_system_DNS_name 將取代為 Amazon FSx 指派給檔案系統的 DNS 名稱。若要在 Amazon FSx 主控台上尋找檔案系統的 DNS 名稱，請選擇檔案系統，然後選擇檔案系統詳細資訊頁面上的網路與安全窗格。

您也可以在 DescribeFileSystems API 操作的回應中取得 DNS 名稱。
```
## Verify SPNs on FSx file system AD computer object
$FileSystemDnsName = "file_system_dns_name"
$FileSystemHost = (Resolve-DnsName ${FileSystemDnsName} | Where Type -eq 'A')[0].Name.Split(".")[0]
$FSxAdComputer = (Get-AdComputer -Identity ${FileSystemHost})
SetSpn /L ${FSxAdComputer}.Name
```
針對您在步驟 1 中與檔案系統相關聯的每個 DNS 別名重複上述步驟。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

將 DNS 別名與您的檔案系統建立關聯

更新或建立 DNS CNAME 記錄